Търсене
Close this search box.

Apple пусна кръпка за своята слушалка за смесена реалност Vision Pro, след като изследователи показаха как атакуващ може да получи данни, въведени от потребителя, като проследява очите му.

Един от начините, по които потребителите на Vision Pro могат да пишат, е като използват виртуална клавиатура и гледат всеки от клавишите, които искат да натиснат.

Изследователи от Университета на Флорида и Тексаския технически университет демонстрираха метод за атака, наречен GAZEploit, който може да се използва за извеждане на информация за това, какво пише потребителят на Vision Pro, чрез проследяване на движението на очите на неговия аватар.

Аватарът, наречен от Apple Persona, е естествено представяне на лицето и движенията на ръцете на потребителя в средата на Vision Pro. Това е начинът, по който другите виждат потребителя по време на видеоразговори, срещи и предавания на живо.

Изследователите установиха, че анализът на движенията на очите на аватара, докато потребителят пише с поглед, може да се използва за възстановяване на клавишите, които той натиска на виртуалната клавиатура на Vision Pro.

Атаката GAZEploit е тествана върху данни, събрани от 30 лица, и изследователите са постигнали значителна точност за това кога потребителите са въвеждали съобщения, пароли, URL адреси, имейли и пароли (PIN кодове).

„По време на писане с поглед погледите на потребителите се преместват между клавишите и се фиксират върху клавиша, който трябва да бъде натиснат, което води до сакади, последвани от фиксации. Сакадите се отнасят до периода, в който потребителите бързо преместват погледа си от един обект на друг. Фиксациите се отнасят до периода, в който потребителите се взират в даден обект“, обясняват изследователите.

„Разработихме алгоритъм, който изчислява стабилността на следата на погледа и определя праг за класифициране на фиксациите от сакадите. Използваме точките за оценка на погледа в тези региони с висока стабилност като кандидати за кликване. Оценката на нашия набор от данни показва 85,9 % точност и 96,8 % повторение при идентифициране на натискания на клавиши в рамките на сесиите за писане.“ Apple заяви, че уязвимостта, която се проследява като CVE-2024-40865, е била отстранена с пускането на VisionOS 1.3. Консултацията по сигурността за VisionOS 1.3 беше публикувана в края на юли, но на 5 септември Apple я актуализира, за да включи CVE-2024-40865.

Apple се е справила с проблема, като е спряла Persona, когато виртуалната клавиатура е активна.

Това не е първият хак на Vision Pro. Неотдавна изследовател показа как нападателят е могъл да генерира произволни обекти в стая – по-специално прилепи и паяци – просто като накара потребителя да посети уебсайт.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
23/09/2024

Продукти за киберсигурност ...

Последната голяма актуализация на MacOS на...
17/09/2024

Apple закърпва големи пропу...

Дългоочакваното обновяване на iOS 18 на...
15/09/2024

Apple внезапно оттегли съде...

Apple внезапно оттегли съдебния си иск...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!